Se ha publicado una nueva versin de la Metodologa de Anlisis y Gestin de

Riesgos de los Sistemas de Informacin (MAGERIT v3) elaborada por el Consejo

Superior de Administracin Electrnica. Esta nueva versin se enfoca hacia el
estandar de gestion de la seguridad ISO 27000.
MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada como
respuesta a la percepcin de que la Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la informacin para el
cumplimiento de su misin.
MAGERIT es la metodologa sobre la que se basa la herramienta PILAR, desarrollada
por el Centro Criptolgico Nacional (CCN) y de amplia utilizacin en la
administracin pblica espaola. MAGERIT consta de tres documentos, catlogo,
tcnicas y mtodo los cuales pueden descargar a continuacin:

Los cambios de la ltima versin MAGERIT Anlisis de Riesgos

Este ao hemos tenido la revisin de la metodologa para el Anlisis de Riesgos MAGERIT. Los
cambios han sido bastantes, pero en este caso nos vamos a orientar expresamente a los
relativos del Anlisis de Riesgos, la tipologa de activos, Amenazas y Vulnerabilidades. Este
contenido lo podis encontrar en el Libro 2 de MAGERIT 3 denominado Catlogo de
Elementos.
Tipos de Activos
Comparando lo que se ha establecido en la Versin 3 con MAGERIT 2, lo primero que
podemos recoger es que el listado de Activos es distinto, de hecho se inicia el apartado
haciendo referencia al concepto de Activos Esenciales pero finalmente, a la hora de ser
prcticos carecen de importancia ya que el listado queda de la siguiente forma:
[D]

Datos/informacin

[K]

Claves Criptogrficas

[S]

Servicios

[SW]

Aplicaciones

[HW]

HardWare

[COM]

Redes de Comunicaciones

[Media]

Soportes de informacin

[AUX]

Equipamiento Auxiliar

[L]

Instalaciones

[P]

Personal

Por lo que podemos observar, realmente se ha incluido un nuevo Tipo de Activo, K Claves
criptogrficas, y se ha adaptado el nombre de SI a Media para identificar a los Soportes de
Informacin.

Existen otros detalles como el hecho de que el Backup se considera ahora parte de
Datos/Informacin o que se reconozca al personal Administrador de Seguridad. Matices que se
ajustan mejor a la realidad.
Criterios de Valoracin
Realmente se sigue utilizando la misma regla numrica pero ahora existe el lmite de extremo:

Y en esta versin, se han establecido las escalas con nmeros que ayudan a comprender y
utilizar los ratios de valoracin. Este punto, 4.1 Escalas estndar, es uno de las grandes
mejoras. Se agradece poder mantener los criterios de una forma mucho ms clara.
Cambios de Amenazas y Vulnerabilidades
Asociacin de tipo de activos ms actual
Los cambios ms interesantes en MAGERIT se han dado en este aspecto de identificar
Amenazas. En este sentido, en esta versin de MAGERIT de forma mucho ms acorde a la
realidad actual donde existen un sin fin de componentes virtualizados, las amenazas estn
asociadas a los elementos que realmente pueden sufrir este tipo de eventos. Es decir,
actualmente se generan elementos como switches mediante los sistemas de virtualizacin por
lo que se trata de elementos no-fsicos y ahora la asociacin es mucho ms correcta.
Amenazas que afectan a activos especficos

Existen algunos casos en los que las tablas de amenazas identifican un tipo de activo mucho
ms especfico como es el caso de D.log y D.Conf (refiriendose a Datos de logs y Datos de
Configuracin respectivamente).

Esto ocurre para el siguiente listado de Amenazas:

E.3 Errrores de monitorizacin

E.4 Errores de configuracin

A.3 Manipulacin de los registros de actividad

A.4 Manipulacin de la configuracin

A.13 Repudio
Amenazas obsoletas, desaparecidas y reapariciones
A lo largo del nuevo listado se identifica una amenaza como obsoleta, la E.7 Deficiencia en la
organizacin. Todava la mantienen por lo que aunque quede obsoleta, deberamos de seguir
utilizndola (no creo que estn muy claras las responsabilidad en muchos casos).

Existe otra obsoleta, la E.14 Escapes de informacin. Pero en este caso recomiendan el uso
de E.19 Fugas de informacin.

Desaparecen las siguientes amenazas:

E.16 Introduccin de falsa informacin

E.17 Degradacin de la informacin

A.16 Introduccin de falsa informacin

A.17 Corrupcin de la informacin

Se suman:

A.3 Manipulacin de los registros de actividad

A.23 Alteracin de los equipos

Vulnerabilidades identificadas por EBIOS
Uno de los puntos ms negativos que se pueden identificar en esta versin, es la identificacin
de vulnerabilidades en base a EBIOS (Norma Francesa que traducida significa: Expresin de
las necesidades y de identificacin de los Objetivos de Seguridad). Lo que supone tener que
seguir otro nuevo documento.

Adems, esta documentacin no se encuentra en castellano ni en ingles con los problemas que
ello supone. Agradeceramos las inclusiones en castellano para facilitar la labor.
Resto de Cambios en MAGERIT
Sin examinar el resto del documento en profundidad, se pueden apreciar cambios en el
planteamiento realizado respecto al punto de las Salvaguardas. En este aspecto se ha reducido
y simplificado en exceso para mi gusto ya que simplemente se mencionan las alternativas sin
entrar en ciertos aspectos de detalle que para personal no experto en seguridad TIC, se queda
demasiado resumido.

REDACCION PARA TEMA DE PRCTICAS

Los activos estn expuestos a amenazas, y cuando estas amenazas se materializan,

entonces degradan el activo, produciendo un impacto. Si estimamos la frecuencia
con que se materializan las amenazas (es decir si vemos cada que tiempo se da
este problema, y si esto sucede muy frecuente), es que podemos deducir ya
el riesgo al que est expuesto el sistema. Otros trminos que debemos insertar al
contexto del tema que estamos abordando es la Degradacin y frecuencia, son
estos trminos los que califican la vulnerabilidad del sistema.

Una manera de contrarrestar esto, es a travs del gestor del sistema de

informacin, ste sistema dispone de salvaguardas que o bien reducen la frecuencia
de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de
implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de
riesgo que se denomina riesgo residual.
PILAR dispone de una biblioteca estndar de propsito general, y es capaz de
realizar calificaciones de seguridad respecto de normas ampliamente conocidas
como son:

Esquema Nacional de Seguridad.

ISO/IEC 27002:2005.

Los Criterios de Seguridad, Normalizacin y Conservacin del Consejo

Superior de Informtica y para el Impulso de la Administracin Electrnica,
orientados a la Administracin Pblica

Realizar un informe respecto al acceso yanto privado como pblico. Y como

medida correctiva sera la de enmarcar dentro de la labor que tienen
encomendada la divulgacin de la mejores prcticas acerca de la seguridad de

la informacin
Establecer polticas de seguridad acompaado de un adecuado plan de
divulgacin y sensibilizacin para que todos los niveles de la institucin
(incluida la coordinacin) conozcan los riesgos para la seguridad de la
informacin, tengan muy presente el incremento del riesgo de sufrir cyber-

ataques.
Tener la capacidad de respuesta a incidentes de seguridad de la informacin.
Responder de forma rpida y eficiente a las posibles amenazas, y afrontar de

forma activa las nuevas cyber-amenazas

Revisin de reas designadas como estratgicas o de gran